Microsoft Sentinel sorgularını ve etkinliklerini denetleme
Bu makalede, Güvenlik İşlemleri (SOC) çalışma alanınızdaki iç ve dış uyumluluk gereksinimleri gibi Sorgu çalıştırmaları ve Microsoft Sentinel çalışma alanınızda gerçekleştirilen etkinlikler için denetim verilerini nasıl görüntüleyebileceğiniz açıklanmaktadır.
Microsoft Sentinel şu öğelere erişim sağlar:
Uyarı kurallarını düzenleme gibi Microsoft Sentinel'de gerçekleştirilen tüm eylemlerle ilgili ayrıntıları sağlayan AzureActivity tablosu. AzureActivity tablosu belirli sorgu verilerini günlüğe kaydetmez. Daha fazla bilgi için bkz . Azure Etkinlik günlükleriyle denetim.
Microsoft Sentinel'den çalıştırılan sorgular da dahil olmak üzere Log Analytics'te çalıştırılan sorgularla ilgili ayrıntıları sağlayan LAQueryLogs tablosu. Daha fazla bilgi için bkz . LAQueryLogs ile denetim.
Bahşiş
Bu makalede açıklanan el ile sorgulara ek olarak, Microsoft Sentinel SOC ortamınızdaki etkinlikleri denetlemenize yardımcı olacak yerleşik bir çalışma kitabı sağlar.
Microsoft Sentinel Çalışma Kitapları alanında Çalışma Alanı denetim çalışma kitabını arayın.
Azure Etkinlik günlükleriyle denetim
Microsoft Sentinel'in denetim günlükleri, Azure Etkinlik Günlükleri'nde tutulur ve Burada AzureActivity tablosu Microsoft Sentinel çalışma alanınızda gerçekleştirilir.
Microsoft Sentinel ile SOC ortamınızdaki etkinliği denetlerken AzureActivity tablosunu kullanabilirsiniz.
AzureActivity tablosunu sorgulamak için:
BağlanAzure Etkinlik veri kaynağı, denetim olaylarının akışını Günlükler ekranında azureActivity adlı yeni bir tabloya başlatmak için kullanılır.
Ardından, diğer tablolarda yaptığınız gibi KQL kullanarak verileri sorgulayın.
AzureActivity tablosu, Microsoft Sentinel dahil olmak üzere birçok hizmetten veri içerir. Yalnızca Microsoft Sentinel'den gelen verileri filtrelemek için sorgunuzu aşağıdaki kodla başlatın:
AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS"Örneğin, belirli bir analiz kuralını düzenleyen son kullanıcının kim olduğunu bulmak için aşağıdaki sorguyu kullanın (değerini denetlemek istediğiniz kuralın kural kimliğiyle değiştirerek
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx):AzureActivity | where OperationNameValue startswith "MICROSOFT.SECURITYINSIGHTS/ALERTRULES/WRITE" | where Properties contains "alertRules/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" | project Caller , TimeGenerated , Properties
Raporlamanız gerekenlere bağlı olarak AzureActivities tablosunu daha fazla incelemek için sorgunuza daha fazla parametre ekleyin. Aşağıdaki bölümler, AzureActivity tablo verileriyle denetim yaparken kullanılacak diğer örnek sorguları sağlar.
Daha fazla bilgi için bkz . Azure Etkinlik günlüklerine dahil edilen Microsoft Sentinel verileri.
Son 24 saat içinde belirli bir kullanıcı tarafından gerçekleştirilir tüm eylemleri bulma
Aşağıdaki AzureActivity tablo sorgusu, belirli bir Microsoft Entra kullanıcısı tarafından son 24 saat içinde gerçekleştirilir tüm eylemleri listeler.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where Caller == "[AzureAD username]"
| where TimeGenerated > ago(1d)
Tüm silme işlemlerini bulma
Aşağıdaki AzureActivity tablo sorgusu, Microsoft Sentinel çalışma alanınızda gerçekleştirilen tüm silme işlemlerini listeler.
AzureActivity
| where OperationNameValue contains "SecurityInsights"
| where OperationName contains "Delete"
| where ActivityStatusValue contains "Succeeded"
| project TimeGenerated, Caller, OperationName
Azure Etkinlik günlüklerine eklenen Microsoft Sentinel verileri
Microsoft Sentinel'in denetim günlükleri Azure Etkinlik Günlükleri'nde tutulur ve aşağıdaki bilgi türlerini içerir:
| İşlem | Bilgi türleri |
|---|---|
| Oluşturuldu | Uyarı kuralları Servis talebi açıklamaları Olay açıklamaları Kaydedilen aramalar İzleme Listeleri Çalışma Kitapları |
| Silindi | Uyarı kuralları Yer im -leri Veri bağlayıcıları Olay Kaydedilen aramalar Ayarlar Tehdit bilgileri raporları İzleme Listeleri Çalışma kitap -larını Workflow |
| Güncelleştirildi | Uyarı kuralları Yer im -leri Durumda Veri bağlayıcıları Olay Olay açıklamaları Tehdit bilgileri raporları Çalışma kitap -larını Workflow |
Kullanıcı yetkilendirmelerini ve lisanslarını denetlemek için Azure Etkinlik günlüklerini de kullanabilirsiniz.
Örneğin, aşağıdaki tabloda Azure Etkinlik günlüklerinde bulunan ve günlük verilerinin çekildiği belirli kaynağa sahip seçili işlemler listelenir.
| Operasyon adı | Kaynak türü |
|---|---|
| Çalışma kitabı oluşturma veya güncelleştirme | Microsoft. Analizler/çalışma kitapları |
| Çalışma kitabını silme | Microsoft. Analizler/çalışma kitapları |
| İş akışını ayarlama | Microsoft.Logic/iş akışları |
| İş akışını silme | Microsoft.Logic/iş akışları |
| Kayıtlı arama oluşturma | Microsoft.Operational Analizler/workspaces/savedSearches |
| Kaydedilen aramayı sil | Microsoft.Operational Analizler/workspaces/savedSearches |
| Uyarı kurallarını güncelleştirme | Microsoft.Security Analizler/alertRules |
| Uyarı kurallarını silme | Microsoft.Security Analizler/alertRules |
| Uyarı kuralı yanıt eylemlerini güncelleştirme | Microsoft.Security Analizler/alertRules/actions |
| Uyarı kuralı yanıt eylemlerini silme | Microsoft.Security Analizler/alertRules/actions |
| Yer işaretlerini güncelleştirme | Microsoft.Security Analizler/bookmarks |
| Yer işaretlerini silme | Microsoft.Security Analizler/bookmarks |
| Güncelleştirme olayları | Microsoft.Security Analizler/Servis Talepleri |
| Olay araştırmasını güncelleştirme | Microsoft.Security Analizler/Servis Talepleri/araştırma |
| Servis talebi açıklamaları oluşturma | Microsoft.Security Analizler/Servis Talepleri/açıklamalar |
| Veri bağlayıcılarını güncelleştirme | Microsoft.Security Analizler/data Bağlan ors |
| Veri bağlayıcılarını silme | Microsoft.Security Analizler/data Bağlan ors |
| Ayarları güncelleştirme | Microsoft.Security Analizler/settings |
Daha fazla bilgi için bkz . Azure Etkinlik Günlüğü olay şeması.
LAQueryLogs ile denetim
LAQueryLogs tablosu, Log Analytics'te çalıştırılacak günlük sorguları hakkında ayrıntılar sağlar. Log Analytics, Microsoft Sentinel'in temel veri deposu olarak kullanıldığından, sisteminizi Microsoft Sentinel çalışma alanınızda LAQueryLogs verilerini toplayacak şekilde yapılandırabilirsiniz.
LAQueryLogs verileri aşağıdaki gibi bilgileri içerir:
- Sorgular çalıştırıldığında
- Log Analytics'te sorgu çalıştıranlar
- Log Analytics'te Microsoft Sentinel gibi sorguları çalıştırmak için hangi araç kullanıldı?
- Sorgu kendi kendine metinler
- Her sorgu çalıştırması için performans verileri
Dekont
- LAQueryLogs tablosu yalnızca Microsoft Sentinel'in Günlükler dikey penceresinde çalıştırılmış sorguları içerir. Araştırma Grafı kullanılarak veya Microsoft Sentinel Tehdit Avcılığı sayfasında zamanlanmış analiz kuralları tarafından çalıştırılan sorguları içermez.
- Sorgunun çalıştırıldığı ve verilerin LAQueryLogs tablosunda doldurulacağı süre arasında kısa bir gecikme olabilir. Denetim verileri için LAQueryLogs tablosunu sorgulamak için yaklaşık 5 dakika beklemenizi öneririz.
LAQueryLogs tablosunu sorgulamak için:
LAQueryLogs tablosu Log Analytics çalışma alanınızda varsayılan olarak etkin değildir. Microsoft Sentinel'de denetim yaparken LAQueryLogs verilerini kullanmak için öncelikle Log Analytics çalışma alanınızın Tanılama ayarları alanında LAQueryLogs'u etkinleştirin.
Daha fazla bilgi için bkz . Azure İzleyici günlüklerinde sorguları denetleme.
Ardından, diğer tablolarda yaptığınız gibi KQL kullanarak verileri sorgulayın.
Örneğin, aşağıdaki sorgu, geçen hafta günde kaç sorgu çalıştırıldığını gösterir:
LAQueryLogs | where TimeGenerated > ago(7d) | summarize events_count=count() by bin(TimeGenerated, 1d)
Aşağıdaki bölümlerde, Microsoft Sentinel kullanarak SOC ortamınızdaki etkinlikleri denetlerken LAQueryLogs tablosunda çalıştırılacak daha fazla örnek sorgu gösterilmektedir.
Yanıtın "Tamam" olmadığı çalıştırılacak sorgu sayısı
Aşağıdaki LAQueryLogs tablo sorgusu, 200 Tamam HTTP yanıtı dışındaki herhangi bir şeyin alındığı çalıştırılan sorgu sayısını gösterir. Örneğin, bu sayı çalıştırılamadı sorguları içerir.
LAQueryLogs
| where ResponseCode != 200
| count
Yoğun CPU kullanan sorgular için kullanıcıları gösterme
Aşağıdaki LAQueryLogs tablo sorgusu, kullanılan CPU'ya ve sorgu süresi uzunluğuna göre en yoğun CPU kullanan sorguları çalıştıran kullanıcıları listeler.
LAQueryLogs
|summarize arg_max(StatsCPUTimeMs, *) by AADClientId
| extend User = AADEmail, QueryRunTime = StatsCPUTimeMs
| project User, QueryRunTime, QueryText
| order by QueryRunTime desc
Geçen hafta en çok sorgu çalıştıran kullanıcıları gösterme
Aşağıdaki LAQueryLogs tablo sorgusu, geçen hafta en çok sorgu çalıştıran kullanıcıları listeler.
LAQueryLogs
| where TimeGenerated > ago(7d)
| summarize events_count=count() by AADEmail
| extend UserPrincipalName = AADEmail, Queries = events_count
| join kind= leftouter (
SigninLogs)
on UserPrincipalName
| project UserDisplayName, UserPrincipalName, Queries
| summarize arg_max(Queries, *) by UserPrincipalName
| sort by Queries desc
Microsoft Sentinel etkinlikleri için uyarıları yapılandırma
Proaktif uyarılar oluşturmak için Microsoft Sentinel denetim kaynaklarını kullanmak isteyebilirsiniz.
Örneğin, Microsoft Sentinel çalışma alanınızda hassas tablolarınız varsa, bu tablolar her sorgulandığında sizi bilgilendirmek için aşağıdaki sorguyu kullanın:
LAQueryLogs
| where QueryText contains "[Name of sensitive table]"
| where TimeGenerated > ago(1d)
| extend User = AADEmail, Query = QueryText
| project User, Query
Microsoft Sentinel'i çalışma kitapları, kurallar ve playbook'larla izleme
Microsoft Sentinel'de gerçekleşen olayları ve eylemleri izlemek için Microsoft Sentinel'in kendi özelliklerini kullanın.
Çalışma kitaplarıyla izleme. Çalışma alanı etkinliğini izlemek için aşağıdaki çalışma kitapları oluşturuldu:
- Çalışma Alanı Denetimi. Ortamdaki hangi kullanıcıların eylem gerçekleştirdiği, hangi eylemleri gerçekleştirdikleri ve daha fazlası hakkında bilgi içerir.
- Analiz Verimliliği. Hangi analiz kurallarının kullanıldığına, hangi MITRE taktiklerinin en çok ele alındığını ve kurallardan oluşturulan olaylara ilişkin içgörü sağlar.
- Güvenlik İşlemleri Verimliliği. SOC ekip performansı, açılan olaylar, kapatılan olaylar ve daha fazlası ile ilgili ölçümleri sunar. Bu çalışma kitabı, ekip performansını göstermek ve dikkat gerektiren eksik alanları vurgulamak için kullanılabilir.
- Veri toplama sistem durumunu izleme. Durdurulmuş veya durdurulmuş alımları izlemeye yardımcı olur.
Daha fazla bilgi için bkz . Yaygın kullanılan Microsoft Sentinel çalışma kitapları.
Alım gecikmesini izleyin. Alım gecikmesi ile ilgili endişeleriniz varsa, bir analiz kuralında gecikmeyi temsil eden bir değişken ayarlayın.
Örneğin, aşağıdaki analiz kuralı sonuçların yinelenenleri içermediğinden ve kuralları çalıştırırken günlüklerin kaçırılmadığından emin olmak için yardımcı olabilir:
let ingestion_delay= 2min;let rule_look_back = 5min;CommonSecurityLog| where TimeGenerated >= ago(ingestion_delay + rule_look_back)| where ingestion_time() > (rule_look_back) - Calculating ingestion delay CommonSecurityLog| extend delay = ingestion_time() - TimeGenerated| summarize percentiles(delay,95,99) by DeviceVendor, DeviceProductDaha fazla bilgi için bkz . Microsoft Sentinel'de otomasyon kurallarıyla olay işlemeyi otomatikleştirme.
Veri bağlayıcısının durumunu izlemek için Bağlan or Sistem Durumu Anında İletilen Bildirim Çözümü playbook'unu kullanarak bekleyen veya durdurulan alımı izleyin ve bağlayıcı veri toplamayı durdurduğunda veya makineler raporlamayı durdurduğunda bildirim gönderin.
Sonraki adımlar
Microsoft Sentinel'de, SOC ortamınızdaki etkinlikleri denetlemek için Çalışma Alanı denetim çalışma kitabını kullanın.
Daha fazla bilgi için bkz . Verilerinizi görselleştirme ve izleme.